Si está utilizando una de las claves de seguridad Bluetooth de Google Titan para iniciar sesión en todas sus cuentas protegidas de dos factores, hay buenas y malas noticias. La mala noticia, como probablemente pueda adivinar, es que Google ha anunciado el descubrimiento de una vulnerabilidad que le permite a alguien acceder potencialmente a sus cuentas.
La buena noticia es que Google identificó el problema y le enviará un reemplazo gratuito que cierra la brecha. La clave de seguridad Bluetooth de Google Titan es un token de seguridad física que, cuando se combina con un teléfono o tableta, proporciona una de las dos contraseñas necesarias para desbloquear una cuenta protegida con autenticación de dos factores.
Reemplaza la contraseña aleatoria que puede esperar recibir de una aplicación de autenticación de dos factores o por mensaje de texto. Como muchos, incluido Google, señalan correctamente, usar un token físico que transmite automáticamente estos códigos es mucho más seguro que tener una contraseña aleatoria enviada a su dispositivo.
Google esta reemplazando la clave seguridad de Titan
De acuerdo con el Blog de seguridad de Google, las claves de Titan que utilizan la arquitectura Bluetooth Low Energy están expuestas a ataques durante el proceso de emparejamiento de Bluetooth. Durante el emparejamiento, un atacante puede interceptar la señal del dispositivo desde una distancia de hasta 30 pies, lo que les permite enviar datos a la clave y a cualquier dispositivo que ya esté emparejado con ella.
Técnicamente, esto podría permitirles acceder a su dispositivo protegido por dos factores, siempre que sincronicen su acceso con el suyo. Se necesitarían algunas habilidades reales, pero es posible.
Y debido a eso, Google ha emitido un retiro de las claves de seguridad afectadas. Para verificar si su dispositivo necesita ser reemplazado, busque una combinación de letras y números en la parte posterior de la tecla, cerca de la parte inferior. Si su clave dice “T1” o “T2”, la clave está expuesta y debe ir al sitio de gestión de recuperación de Google.
Deberá iniciar sesión en su cuenta de Google cuando acceda al sitio para reclamar su reemplazo. (Google comprueba si tiene una clave sincronizada con su cuenta). Si eso no es posible, puede enviar un correo electrónico a Google directamente a replacementemykey@google.com. (Para asegurarse de que todo vaya bien, recomendaría tener a mano un número de serie y un recibo).
Hasta que llegue la clave de reemplazo, Google recomienda a todos los usuarios que eviten usar el Titan en lugares públicos donde alguien pueda acercarse y/o ver cuándo está usando su clave. Si no ha conectado su Titan a su cuenta de Google, Google le recomienda que lo haga, luego desvincúlelo de su dispositivo.
Google notó que las claves Titan afectadas dejarán de funcionar si se emparejan con dispositivos Apple que ejecutan iOS 12.3, y que los dispositivos Android automáticamente desvincularán las claves afectadas una vez que reciban el parche de seguridad de junio.